クラウド対応のための データ分類

クラウド対応のための
データ分類
Microsoft
Trustworthy
Computing
Trustworthy Computing | クラウド対応のためのデータ分類
免責
この文書に記載された内容は情報提供のみを目的としたものであり、 明示、黙示または法律の規定にかかわ
らず、これらの情報についてマイクロソフトはいかなる責任も負わないものとします。
この文書は「現状のまま」提供されます。この文書に記載される情報および意見は、URL その他のインターネッ
ト Web サイトへの参照を含め、事前の通知なしに変更されることがあります。 そのリスクは読者が負うことにな
ります。
Microsoft および Windows Azure は、米国 Microsoft Corporation の米国およびその他の国における登
録商標または商標です。
Copyright © 2014 Microsoft Corporation. All rights reserved.
記載されている実在の会社名および製品名は、各社の商標である場合があります。
謝辞
筆者
Frank Simorjay
協力者およびレビュー担当者
Kellie Ann Chainier
Carlene Heath
Jim Pinter
Tim Rains
Kurt Dillard
Greg Lenti
Shont Miller (LCA)
Steve Wacker
Trustworthy Computing | クラウド対応のためのデータ分類
Chris Hale (LCA)
Michael Mattmiller
Sian Suthers
はじめに
データ分類は、組織が所有するデータの相対的価値を判断し、割り当てるための最も基本的な方法の 1 つで
す。 データ分類のプロセスにより、組織は秘密度やビジネスへの影響で保存データを分類し、データに関連するリ
スクを特定できます。 プロセスが完了すると、組織はすべてのデータを同様に扱うのではなく、その価値に見合っ
た方法でデータを管理できます。 データ分類は意識的な判断と熟考を必要とするアプローチであり、すべてのデ
ータに同じ価値を割り当てられている場合には不可能な最適化を実現することができます。
データ分類は過去数十年にわたり、マイクロソフト、政府、軍事機関といった大規模組織がデータ完全性の管
理に役立ててきました。 このホワイト ペーパーではデータ分類の基本事項を紹介し、特にクラウド コンピューティ
ングにおけるその価値を重点的に取り上げます。 このホワイト ペーパーは、将来のためにクラウド コンピューティン
グを評価中の組織や、現在クラウド サービスを使用していて、データ管理を最適化する方法を模索している組
織に最適です。
データ分類の取り組みの開始点として、リスク評価が使用されることがありますが、このホワイト ペーパーでは正
式なリスク評価のプロセスについては取り上げません。 データ分類プロセスを実施する際には、自らの組織に固
有のリスクについて検討することを強くお勧めします。
対象読者
このホワイト ペーパーは、アプリケーションやインフラストラクチャの開発および展開の計画を担当する、コンサルタ
ント、セキュリティ スペシャリスト、システム アーキテクト、IT プロフェッショナルを主な対象読者として想定していま
す。 これらの役割には、次の一般的な職務が含まれています。
•
IT のサポートを必要とする重大なビジネス目標やビジネス要件の所有者である、上級管理者、ビジネス
アナリスト、ビジネス上の意思決定者 (BDM)
•
組織のためにアーキテクチャにかかわる取り組みを推進する責任のある、アーキテクトと企画担当者
•
顧客やパートナーのために知識移転ツールを必要とする、コンサルタントとパートナー組織
Trustworthy Computing | クラウド対応のためのデータ分類
1
データ分類の基本
組織のデータ分類を成功させるには、組織のニーズを幅広く認識し、組織のデータ資産が保存されている場所
を完全に把握することが必要です。
データの状態は、保管中、処理中、転送中の 3 つの基本的状態のいずれかに該当します。 これら 3 つの状
態は、データ分類の際にはそれぞれ固有の技術ソリューションを必要としますが、データ分類の方針はどの状態
にも同一のものを適用する必要があります。 機密データとして分類されるデータは、保管中、処理中、転送中
のいずれの状態でも、機密データのままでなければなりません。
また、データには構造化データと非構造化データがあります。 データベースやスプレッドシー
トに見られる構造化データの一般的な分類プロセスは、ドキュメント、ソース コード、電子メ
ールといった非構造化データの分類プロセスよりも単純で、管理に時間がかかりません。 一般
に組織の所有するデータは、構造化データよりも非構造化データのほうが多くなっています。
データが構造化されているかどうかにかかわらず、組織はデータの機密性を管理する必要があ
ります。 データ分類が適切に実施されれば、機密データ資産は、自由に配布できる公開データ
資産に比べてずっと強い管理体制下で保存することができます。
データへのアクセスの制御
認証と承認は取り違えられたり、役割が誤解されたりすることがよくあります。 次の図からわかるように、これらは
実際にはまったく異なるものです。
認証
一般に認証は少なくとも 2 つの部分、つまり、ユーザーを識別するためのユーザー名またはユーザー ID と、ユー
ザー名の資格情報が有効であることを確認するためのパスワードなどのトークンで構成されます。 このプロセスで
は、認証されたユーザーにアイテムやサービスへのアクセス権は付与されません。ユーザーが本人であることを確
認するだけです。
Trustworthy Computing | クラウド対応のためのデータ分類
2
承認
承認は、アプリケーション、データ セット、データ ファイル、またはその他のオブジェクトへのアクセス権を認証済み
ユーザーに提供するプロセスです。 認証済みユーザーに対し、アクセス可能なアイテムを使用、変更、削除する
権利を割り当てる際には、データ分類に注意する必要があります。
承認を成功させるには、役割、セキュリティ ポリシー、リスク ポリシーの考慮事項の組み合わせに基づき、ファイ
ルや情報へのアクセスに関する各ユーザーのニーズを確認するためのメカニズムを実装する必要があります。 たと
えば、すべての従業員が特定の基幹業務 (LOB) アプリケーションのデータへアクセスできる必要はありません。ま
た、人事 (HR) 関連のファイルにアクセスする必要があるのは、ごく一部の従業員だけです。 しかし、いつどのよう
に、と同時に、だれがデータへアクセス可能かを制御するには、ユーザーを認証するための有効なシステムが必
要です。
クラウド コンピューティングにおける役割と責任
承認を行うには、組織、クラウド プロバイダー、顧客の役割と責任を本質的に理解しておく必要があります。 ク
ラウド プロバイダーは、顧客データへの未承認のアクセスを阻止する運用プラクティスを実装する必要があります。
また、顧客組織のコンプライアンス要件も、プロバイダーがサポートしなければなりません。 クラウド プロバイダーは
リスク管理をサポートできますが、データ分類の管理と制御が正しく行われ、適切なレベルのデータ管理サービス
が実現されているかを確認するのは顧客の役割です。
次の図に示すように、データ分類の責任は、どのクラウド サービス モデルを使用しているかによって異なります。
3 つの主要なクラウド サービス モデルは IaaS (サービスとしてのインフラストラクチャ)、PaaS (サービスとしてのプラ
ットフォーム)、SaaS (サービスとしてのソフトウェア) です。 データ分類のメカニズムも、クラウド プロバイダーへの信
頼度や期待度によって異なります。
Trustworthy Computing | クラウド対応のためのデータ分類
3
顧客はデータを分類する責任を負いますが、クラウド プロバイダーは、クラウド内の顧客データのプライバシーを
保護し、セキュリティを確保する義務を文書化する必要があります。
これらの文書には、プライバシーとセキュリティに関するプラクティス、データの使用制限、法令順守に関する情報
を含めなければなりません。 さらに、クラウド プロバイダーは、国際標準化機構 (ISO) などの標準や、米国公認
会計士協会が定めた Service Organization Control (SOC1 および SOC2) などの規制に準拠していること
を示す認定や監査レポートを準備し、顧客がクラウド プロバイダーのプラクティスの有効性を確認できるようにし
ておく必要があります。 これらの情報は、データ分類によって必須となったデータ保護要件をクラウド プロバイダー
がサポートできるかどうかを顧客が判断するのに役立ちます。 データ保護要件に対処できないクラウド プロバイ
ダーにデータを移行すべきではありません。
Trustworthy Computing | クラウド対応のためのデータ分類
4
•
IaaS プロバイダー: データ分類の観点から見ると、IaaS プロバイダーの要件は、その仮想環境がデータ分
類機能を持っていること、および顧客のコンプライアンス要件に対応可能であることの確認に限定されます。
IaaS が行うべき作業は顧客データをコンプライアンス要件に対応させることだけなので、データ分類における
役割は比較的少ないと言えます。 しかし、プロバイダーはデータセンターのセキュリティ保護を行ったうえで、
自らの仮想環境がデータ分類要件に対応するようにしなければなりません。
•
PaaS プロバイダー: 分類ツールにセキュリティを提供するために、プラットフォームを多層アプローチによって使
用する場合があるので、責任が混在する可能性があります。 PaaS プロバイダーは、認証や、一部の承認
規則に対する責任を負うことがあります。また、アプリケーション レイヤーに対してセキュリティやデータ分類機
能を提供しなければなりません。IaaS プロバイダーと同様に、PaaS プロバイダーは、自らのプラットフォーム
を関連するデータ分類要件に準拠させる必要があります。
•
SaaS プロバイダー: 承認処理の一部と見なされることが多く、SaaS アプリケーションに保存されているデー
タを分類タイプごとに制御できるようにする必要があります。 SaaS アプリケーションは LOB アプリケーション
として使用することが可能であり、その性質から、使用および保存されるデータを認証したり、承認したりす
る手段を提供する必要があります。
コンプライアンスに関する考慮事項
さらに、クラウド ソリューションの導入を検討しており、法規制を順守する必要のある組織は、FedRAMP、U.S.
HIPAA、EU データ保護条令、および付録 1 のその他の規制に準拠しているクラウド プロバイダーを採用すると
よいでしょう。 しかし、コンプライアンスを達成するためには、このような組織は自らのデータ分類の責務を認識し、
クラウドに保存するデータを分類できなければなりません。 たとえば、クラウド セキュリティ アライアンスは Cloud
Controls Matrix で、次のようなデータ分類の制御要件を挙げています。
クラウド セキュリティ アライアンス Cloud Control Matrix のデータ ガバナンス – 分類に関する
質問事項 (CCM 1.0 - DG-02 | CCM 3.0 - DSI-03)
CCM のデータ ガバナンス – 分類 (制御) には、次のように記載されています。
データや、データを含むオブジェクトは、保管や、認可されていない開示または誤用の回避のために、
データ タイプ、出身地や居住地の司法権、コンテキスト、法的制約、契約上の制約、価値、秘
密度、重要性に基づいて分類されなければならず、これらの分類は組織や第三者が判断する。
https://cloudsecurityalliance.org/research/ccm/
Trustworthy Computing | クラウド対応のためのデータ分類
5
分類プロセス
データ分類の必要性を認識し、実行しようとしている組織の多くは、どこから始めればいいのか、という基本的な
課題に直面します。
データ分類を実行するための有効で簡単な方法は、MOF の計画、実行、評価、改善 (PLAN、DO、CHECK、
ACT) モデルの利用です。 次の図は、このモデルにデータ分類をうまく組み込むのに必要なタスクを示しています。
1.
2.
3.
4.
計画: 分類プログラムを展開し、保護プロファイルを作成するデータ資産と、データ保管者を特定
する。
実行: データ分類ポリシーに同意したらプログラムを展開し、機密データに必要な制御テクノロジを
実装する。
評価: レポートを確認して検証し、使用されているツールと手法が分類ポリシーの順守に有効かど
うかを判断する。
改善: データ アクセスの状態を確認し、再分類と改訂の手法による変更が必要なファ
イルとデータを確認して、変更を適用し、新しいリスクに対処する。
Trustworthy Computing | クラウド対応のためのデータ分類
6
ニーズに対処する用語モデルの選択
データ分類には、複数のタイプのプロセスが存在します。このようなプロセスには、手動プロセス、ユーザーやシス
テムの場所に基づいてデータを分類する場所ベースのプロセス、データベース固有の分類などを含むアプリケーシ
ョンベースのプロセス、さまざまなテクノロジによって使用される自動プロセスがあり、一部についてはこのホワイト
ペーパーの「機密データの保護」セクションで説明します。
ここでは、よく使用されるモデルと、業界で評価を得ているモデルの、2 つの汎用用語モデルを紹介します。 次の
表はこれらの用語モデルを示しています。どちらのモデルでも、3 つの秘密度に基づいて分類されます。
注: 通常は異なるレベルに分類されるデータが混在しているファイルやリソースを分類する場合、その中で最も
高いレベルがデータ全体のレベルになります。たとえば、取扱注意データと制限付きデータを含むファイルは、制
限付きに分類されます。
•
•
秘密度
用語モデル 1
用語モデル 2
高
機密
制限付き
中
社外秘
取扱注意
低
パブリック
制限なし
機密 (制限付き): 「機密」または「制限付き」に分類される情報には、侵害されたり紛失したりすると 1 人以
上の人や組織にとって破滅的な事態を招くデータが含まれています。 このような情報は「必要に応じて」提
供する場合が多く、次のようなデータが含まれます。
o
社会保障番号、国民識別番号、パスポート番号、クレジット カード番号、運転免許番号、病歴、
健康保険証書 ID 番号など、個人を特定できる情報を含む個人データ。
o
当座預金口座番号、投資口座番号など、金融取引の口座番号を含む財務記録。
o
独自の、または特有の知的財産であるドキュメントやデータなどのビジネス資料。
o
アクセスが弁護士に限定される可能性のある資料を含む法的データ。
o
個人の暗号化キー、ユーザー名とパスワードのペア、個人の生体認証キーなどのその他の ID を含
む認証データ。
多くの場合、「機密」に分類されるデータは、データ処理に関する法規制やコンプライアンスの要件を満
たす必要があります。付録 1 には、このような要件の詳細情報が記載されています。
社外秘 (取扱注意): 秘密度が中程度として分類される情報には、紛失や破損の場合にも、個人や組織
に重大な影響を及ぼさないファイルとデータが含まれます。このような情報には、次のものが含まれます。
o
電子メール。多くの場合、削除や配信によって危機的状況を招くことはありません (「機密」に分類
された人のメールボックスや電子メールを除く)。
o
機密データを含まないドキュメントやファイル。
一般に、この分類には「機密」以外のすべてのものが含まれます。 日常的に管理または使用される多
くのファイルは「機密」に分類されるので、この分類には大半のビジネス データが含まれます。「パブリック」
または「機密」に分類されたデータを除き、企業のすべてのデータは既定で「取扱注意」に分類すること
ができます。
Trustworthy Computing | クラウド対応のためのデータ分類
7
•
パブリック (制限なし): 「パブリック」に分類される情報には、ビジネスのニーズや運用にとって重要でないデータ
とファイルが含まれます。 この分類には、マーケティング資料やプレスリリースなど、一般の人が利用できるよう
に故意に公開されているデータが含まれています。 さらに、この分類には電子メール サービスによって保存さ
れた迷惑メールなどのデータが含まれる場合があります。
データ所有権の定義
すべてのデータ資産の保管にあたって、所有権の連鎖を明確に規定しておくことが大切です。 次の表は、データ
分類作業およびその権限に対し、異なるデータ所有権を持つ役割を示したものです。
注: この表にはすべての役割と権限がリストされているわけではなく、代表的な例を示したものです。
役割
所有者
作成
変更/削除
委任
X
X
X
保管者
閲覧 アーカイブ/復元
X
X
管理者
ユーザー*
X
X
X
X
*ユーザーには、編集や削除などの権限が保管者によって追加される場合があります。
•
データ資産所有者は、データの最初の作成者であり、所有権を委任したり、保管者を割り当てたりするこ
とができます。 ファイルを作成したら、所有者が分類を割り当てられるようにします。つまり、所有者は、組
織のポリシーに基づいて何を「機密」に分類すべきかを理解しておく責任があります。 データ資産所有者の
すべてのデータは、自動的に「社外秘」(「取扱注意」) に分類させることができます。ただし、「機密」(「制
限付き」) データ タイプを所有または作成する責任がある場合を除きます。 データの分類後、所有者の役
割が変わることがよくあります。 たとえば、分類された情報を含むデータベースを所有者が作成したあと、権
限をデータ保管者に変えることがあります。
o
•
個人データに関する注意: データ資産所有者は、複数のサービス、デバイス、メディアを併用するこ
とがよくあり、しかもそれらは個人に属する場合と組織に属する場合があります。 組織のポリシーで
明確に定義しておけば、ノート PC やスマート デバイスといったデバイスをデータ分類のガイドライン
に沿って使用させることができます。
データ資産保管者は、資産所有者 (またはその代理人) によって指名され、資産所有者との合意事項に
従って、または該当するポリシー要件に沿って、資産を管理します。 保管者の役割は自動システムで実施
できると理想的です。 資産保管者は、資産の制御が適切に行われているかどうかを確認し、委任された資
産の管理と保護を行う責任があります。資産保管者の責任には、次のものが含まれる場合があります。
o
資産所有者の指示や資産所有者との合意事項に従って、資産を保護する
o
分類ポリシーを順守していることを確認する
o
同意済みの制御内容や保護手順に変更がある場合、その変更が有効になる前に、資産所有
者に通知する
o
資産保管者の責任の変更や削除について、資産所有者に報告する
Trustworthy Computing | クラウド対応のためのデータ分類
8
•
管理者とは、完全性の維持を確保する責任を持つユーザーですが、データ資産所有者、管理者、ユーザ
ーのいずれにも該当しません。 実際、多くの管理者の役割は、データへアクセスせずに、データ コンテナー
の管理サービスを提供します。 管理者の役割には、データのバックアップと復旧、資産の記録の管理、資
産を保存するデバイスや記憶域の選択、確保、運用が含まれます。
•
資産ユーザーには、データやファイルへのアクセス権が付与されたすべての人が含まれます。 多くの場合、ア
クセス権の割り当ては、所有者が資産保管者に委任します。
実装
管理に関する考慮事項は、すべての分類手法で検討すべきものであり、 データ資産の使用、アクセス、変更、
削除に関して、それを実施する人、対象、場所、日時、理由を明らかにする必要があります。すべての資産管
理は、組織がリスクをどのように捉えるかを把握するところから始めなければなりませんが、データ分類プロセスで
定義されている、単純な手法を適用することができます。 データ分類では、新たなアプリケーションとツールを導
入することや、分類手法の実装後に変更を管理することも考慮に入れておく必要があります。
再分類
データ資産の重要性またはリスク プロファイルが変わったとユーザーまたはシステムが判断した場合には、再分類、
つまりデータ資産の分類状態の変更が行われます。 分類状態を最新に保ち、分類を有効なものにするために
も、この作業は重要です。 手作業で分類されていないコンテンツの多くは、自動的に分類するか、データ保管
者またはデータ所有者の使用状況に基づいて分類することができます。
•
手作業によるデータ分類: この作業により、変更の詳細内容が取得され、監査されるのが理想的です。
手作業による再分類の理由としてよくあるのは、機密性保持のため、記録が紙で残されているため、また
は、誤って分類されていたデータを確認する必要があるためです。 このホワイト ペーパーではデータの分類
とデータのクラウドへの移行について検討しているので、手作業による再分類の場合には個別に注意を払
う必要があり、分類の要件に対処するにはリスク管理を検討するのが理想的です。 一般にこのような作業
では、分類対象に関する組織のポリシーや、既定の分類状態 (すべてのデータ ファイルが「取扱注意」で
はあるが、「機密」ではない) について検討し、リスクの高いデータを例外として扱います。
•
自動的なデータ分類: 手作業による分類と同じ原則に従います。 異なるのは、自動的な分類では必要
に応じて規則に準拠させることができる点です。 データ分類はデータ分類制御ポリシーの一部として実施
することができます。これは、データが保存、使用、転送された場合に、承認テクノロジを使用して制御する
ことができます。
o
アプリケーションベース: 特定のアプリケーションを使用すると、既定で分類レベルが設定されます。
たとえば、顧客関係管理 (CRM) ソフトウェア、HR、および診療記録管理ツールからのデータは、
既定で「機密」に分類されます。
o
場所ベース: データの場所が、データの秘密度の特定に役立つ場合があります。 たとえば、HR や
財務部門によって保存されているデータは本来、「機密」であることが多いと言えます。
Trustworthy Computing | クラウド対応のためのデータ分類
9
データの保管、復旧、処分
データの再分類と同様、データの復旧と処分は、データ資産の管理に不可欠な側面です。 データの復旧と処
分の原則はデータ保管ポリシーによって定義され、データの再分類と同じ方法で制御されます。このような作業
は、保管者や管理者の役割によってコラボレーション タスクとして実施されます。
データ保管ポリシーがないと、データ損失や規制の不順守、法的証拠の開示要求への不対応につながります。
明確に定義されたデータ保管ポリシーのない組織は、多くの場合、既定で「すべてを保管する」保管ポリシーを
使用しがちです。しかし、このような保管ポリシーをクラウド サービスで使用すると、リスクが増加します。 たとえば、
クラウド サービス プロバイダーのデータ保管ポリシーは「サブスクリプション中が対象」 (サービスのサブスクリプション
中はデータが保管される) である場合があります。 このように、支払った期間だけ保管を行う契約は、企業や規
制の保管ポリシーに対処するものではありません。 機密データのポリシーを定義することにより、データをベスト プ
ラクティスに基づいて保存および削除することができます。 さらに、アーカイブ ポリシーを作成すると、いつ、どのデ
ータを処分すべきかに関する認識を形式化することができます。
データ保管ポリシーは、規制やコンプライアンスの要件のほか、企業の法的な保管要件にも対応する必要があ
ります。 データを分類すると、保管期間やプロバイダーに保存されているデータの例外扱いに関する疑問が生ま
れるかもしれません。 このような疑問は、データが正しく分類されていない場合に生じる傾向が高くなります。
Trustworthy Computing | クラウド対応のためのデータ分類
10
機密データの保護
データを分類したら、機密データの保護方法を見つけて実装することが、データ保護展開戦略には不可欠です。
機密データを保護するには、従来のアーキテクチャやクラウドにデータを保存および転送する方法を、さらに検討
する必要があります。
このセクションでは、「機密」に分類されたデータの保護をサポートするための、制御の取り組みを自動化できるテ
クノロジに関する基本情報を提供します。
次の図で示すように、これらのテクノロジはオンプレミスまたはクラウドベースのソリューションとして展開できます。ま
たは、一部をオンプレミスで、一部をクラウドで展開するハイブリッド方式をとることもできます (暗号化やアクセス
権管理などの一部のテクノロジも、ユーザー デバイスに展開されます)。
アクセス権管理ソフトウェア
データ損失を回避するためのソリューションは、アクセス権管理ソフトウェアです。 組織の出口で情報の流出を
遮断しようとするアプローチとは異なり、アクセス権管理ソフトウェアはデータ保存テクノロジの深いレベルで動作し
ます。 ドキュメントは暗号化され、それらを解読するユーザーの制御には、ディレクトリ サービスなどの認証制御
ソリューションで定義されたアクセス権制御を使用します。
アクセス権管理ソフトウェアのメリットには、次のようなものがあります。
•
機密情報が保護される: ユーザーはアクセス権管理対応アプリケーションを使用して、データを直接保護
することができます。 追加の手順は必要なく、ドキュメントの作成、電子メールの送信、およびデータの公
開を行う際に、一貫したデータ保護エクスペリエンスが提供されます。
Trustworthy Computing | クラウド対応のためのデータ分類
11
•
保護機能がデータと共に移動する: クラウド、既存の IT インフラストラクチャ、ユーザーのデスクトップのいず
れにデータが保存されている場合でも、誰にデータへのアクセス権を与えるかを制御できます。 組織はデー
タを暗号化することを選択し、ビジネスの要件に従ってアクセス権を制限することができます。
•
既定の情報保護ポリシー: 管理者とユーザーは、数多くの一般的なビジネス シナリオに、「社外秘 - 読み
取り専用」や「転送禁止」などの標準ポリシーを使用できます。読み取り、コピー、印刷、保存、編集、転
送などに関する多様な使用権限がサポートされているので、カスタムの使用権限を柔軟に定義することが
できます。
マイクロソフトの環境におけるアクセス権管理ソリューションの使用に関する詳細については、次のリンクを参照し
てください。
• 「デスクトップ ファイル – 企業権利管理によるデータ損失防止」 (TechNet マガジン)
• TechNet の Information Rights Management のページ
• ブログ記事「Windows Azure Active Directory Rights」 (英語情報)
• ブログ記事 「Microsoft Rights Management」 (英語情報)
暗号化ゲートウェイ
暗号化ゲートウェイは自らのレイヤーで動作し、すべてのアクセスをクラウドベースのデータに経路変更することに
より、暗号化サービスを提供します。 このアプローチを仮想プライベート ネットワーク (VPN) のアプローチと混同し
てはなりません。暗号化ゲートウェイはクラウドベースのソリューションに透過的なレイヤーを提供するように設計さ
れています。
暗号化ゲートウェイは、転送中または保管中のデータを暗号化することにより、「機密」に分類されたデータを管
理およびセキュリティ保護するための手段を提供できます。
暗号化ゲートウェイはユーザー デバイスとアプリケーション データ センターの間のデータ フローに設置され、暗号
化/解読サービスを提供します。 このようなソリューションは、VPN の場合と同様、圧倒的にオンプレミスのものが
多くなっています。 暗号化キーに対する制御をサードパーティに提供するように設計されているので、1 つのプロ
バイダーがデータ保存とキー管理の両方を行うリスクが軽減されます。 これらのソリューションは、暗号化と同様
に、ユーザーとサービスの間でシームレスかつ透過的に動作します。
Trustworthy Computing | クラウド対応のためのデータ分類
12
データ損失防止
データ損失 (データ漏えいとも呼ばれる) は考慮すべき重要な事項です。内部関係者が悪意を持って、または
誤って外部にデータを漏えいするのを阻止することは、組織にとって最優先の課題です。
データ損失防止 (DLP) テクノロジでは、電子メール サービスなどのソリューションが、「機密」に分類されたデータを
転送することを防止できます。 組織は既存製品の DLP 機能を利用して、データ損失の回避に役立てることが
できます。 このような機能は、スクラッチから、またはソフトウェア プロバイダーが提供するテンプレートを使用して、
簡単に作成できるポリシーを使用します。
DLP テクノロジは、キーワードの一致、辞書の一致、正規表現の評価、およびその他のコンテンツの検証によっ
てコンテンツを深く分析し、組織の DLP ポリシーに違反するコンテンツを検出することができます。 たとえば、DLP
は次のタイプのデータが損失されるのを回避するのに役立ちます。
• 社会保障番号や国民識別番号
• 銀行取引の情報
• クレジット カード番号
• IP アドレス
DLP テクノロジの中には、DLP 設定を上書きできるものもあります (たとえば、組織が社会保障番号を給与処
理システムに転送する必要がある場合など)。 さらに、転送すべきでない機密情報をユーザーが送信しようとし
たときに、それをユーザーに通知するように DLP を設定することもできます。
Microsoft Exchange Server 2013 および Exchange Online における DLP 機能の技術概要については、マ
イクロソフト TechNet のページ「データ損失防止」を参照してください。
Trustworthy Computing | クラウド対応のためのデータ分類
13
結論
一般に、データ分類のトピックは、他の刺激的なテクノロジのトピックに比べると、あまり興味を持たれることがあり
ません。 しかし、データ分類を実施すると、コンプライアンス順守の効率を高め、組織のリソースの管理方法を改
善し、クラウドへの移行を容易にするなど、大きな効果がもたらされます。 データ分類の取り組みは複雑な仕事
で、実装を成功させるにはリスク評価が必要ですが、迅速かつシンプルに作業することでも、効果が高められま
す。 あらゆるデータ分類の取り組みでは、組織のニーズを理解して、データの保存方法、処理能力、および組
織全体にデータを転送する方法を把握する必要があります。
経営陣はデータ分類の取り組みをサポートし、IT 部門も関与することが大切です。 分類の概念は、最初は監
査機能のように思われるかもしれませんが、データ分類モデルをうまく実装するのに必要な作業量を減らすことが
できる、多数のテクノロジ ソリューションが用意されています。
クラウドへ移行する際には、データ保管に付随するデータ分類規則に対処する必要があり、クラウド ソリューショ
ンはリスクの軽減に役立つということも考慮してください。 暗号化、アクセス権管理、データ損失防止などのデー
タ保護テクノロジはクラウドへ移行されており、クラウドのリスク軽減に役立ちます。
このホワイト ペーパーではハイブリッド環境について詳細に説明しませんでしたが、オンプレミスおよびクラウドベー
スのデータ分類テクノロジを併用することにより、あらゆる規模の組織がデータの保管場所をより自由に選択でき
るようになり、リスクを効果的に軽減するのに役立ちます。たとえば、非常に機密度の高いデータをオンプレミスに
保存し、クラウドに保存されているデータとは異なる管理を行うことができるようになります。 実際、ハイブリッド環
境は将来の主流になると予測されており、効果的なデータ管理ができるかどうかは、効果的なデータ分類が実
施されるかどうかにかかっています。
Trustworthy Computing | クラウド対応のためのデータ分類
14
付録 1: データ分類に関する規制、コンプライアン
ス要件、標準
次の表は、コントロール目標の定義のサンプルを示しています。 このリストは不完全であり、正式なものではあり
ません。サービスをクラウド ソリューションへ移行する際の検討資料としてのみお使いください。
米国の規制、要件、標準
コントロールの詳細
NIST SP800-53 R3
National Institute of Standards and
Technology (米国国立標準技術研究所)
RA-2 セキュリティ分類
AC-4 情報フロー制御の実施
PCI DSS v2.0
Payment Card Industry Data Security
Standard (クレジットカード業界のデータ セキュ
リティ基準)
9.7.1 データの秘密度を特定できるように、メディアを
分類する。
9.10 業務上の理由または法的な理由から不要になった
メディアは破壊する。
12.3 重要なテクノロジ (リモートアクセス テクノロジ、ワイ
ヤレス テクノロジ、リムーバル電子メディア、ノート PC、タ
ブレット、携帯情報端末 (PDA)、電子メールの使用、イ
ンターネットの使用など) には使用ポリシーを策定し、これ
らのテクノロジの適切な使用方法を定義する。
CIP-003-3 - R4 - R5 - 責任主体は重要なサイバー資
NERC CIP
産を保護するために、最低限のセキュリティ管理規制を
North American Electric Reliability
定めるものとする。
Corporation Critical Infrastructure
Protection (北米電力信頼度協議会の重要
インフラ保護基準)
RA-2 セキュリティ分類
FedRAMP
AC-4 情報フロー制御の実施
Federal Risk and Authorization
Management Program (連邦政府のリスクと
権限管理プログラム)
AICPA SOC2
American Institute of CPAs Service
Organization Controls (米国公認会計士
協会が定めたサービス・オーガニゼーション・コン
トロール)
Trustworthy Computing | クラウド対応のためのデータ分類
(S3.8.0) 分類ポリシーに従ってデータを分類するために、
その手順を定め、必要に応じて定期的に監視し、分類
の更新を行うこと。
(C3.14.0) システムのデータが定義済みの機密度や関連
するセキュリティ ポリシーに従って分類されていることを確
認するために、その手順を定めること。
15
国際的な規制、要件、標準
ENISA IAF
European Union Agency for Network
and Information Security – Information
Assurance Framework (欧州ネットワーク・情
報セキュリティ機関 - 情報保証フレームワーク)
ISO/IEC 27001-2005
コントロールの詳細
6.05.(c) 資産管理 - 分類、区分
職員は、情報セキュリティ、データ保護、顧客データの適
切な処理に関する規制に従わなければならない
A.7.2.1 分類のガイドライン
International Organization for
Standardization / International
Electrotechnical Commission (国際標準
化機構/国際電気標準会議)
Trustworthy Computing | クラウド対応のためのデータ分類
16
付録 2: 用語集
アーカイブと復旧: 本書で説明しているように、データを長期にわたって保存し、必要なときに取得してサービスに
戻すこと。 アーカイブと復旧の方法は、使用されている保管モデルに従う必要があります。
認証: トークンまたはパスワードの使用を通して、ユーザー (ユーザー名またはユーザー ID によって特定する) が
有効であることを確認するプロセス。 このプロセスにより、ユーザーが本人であるかどうかが確認されます。
承認: アプリケーション、データ セット、データ ファイル、またはその他のオブジェクトへのアクセス権を認証済みユー
ザーに提供するプロセス。
クラウド: NIST によるクラウド コンピューティングの定義 (英語情報、PDF) によると、以下となります。
「クラウド コンピューティングとは、設定可能なコンピューティング リソース (ネットワーク、サーバー、記憶
域、アプリケーション、サービスなど) の共有プールに対して、便利なユビキタス ネットワーク アクセスをオ
ンデマンドで実現するモデルです。 このクラウド モデルは、5 つの本質的な特徴と、3 つのサービス モデ
ル、そして 4 つの展開モデルで構成されます」
クラウド セキュリティ アライアンス: Cloud Security Alliance (CSA) は、クラウド コンピューティングの世界でセキ
ュリティ アシュアランスを提供するためのベスト プラクティスの使用を推進し、他のすべての形式のコンピューティン
グのセキュリティ保護にクラウド コンピューティングを役立てるための教育を行う使命を持つ非営利組織です。
Cloud Security Alliance は、業界の実践者、企業、団体、その他の主要な関係者が合同で運営
しています。
www.cloudsecurityalliance.org
Cloud Control Matrix: クラウド セキュリティ アライアンスの Cloud Control Matrix (CCM) は、クラウド ベン
ダーが従うべき基本的なセキュリティ原則を提示し、クラウドの見込み顧客がクラウド プロバイダーのセキュリティ
リスク全般を評価する際に役立つように作成されたものです。 CSA の CCM は、クラウド業界の情報セキュリテ
ィに照準を当て、必要な構造、詳細情報、明瞭性を組織に提供するフレームワークです。
https://cloudsecurityalliance.org/research/ccm/
データの処分: 本書で説明しているように、安全にデータを処分するためのポリシー、期間、手法。 処分ポリシ
ーによって、強力な削除方法やディスクのシュレッダ処理を使用したデータの破棄が要求される場合があります。
データ処分ポリシーでは、データ保管ポリシーと同様の注意が要求されます。 詳細については、
www.microsoft.com/security/online-privacy/safely-dispose-computers-and-devices.aspx (英語情
報) を参照してください。
データの保管: 本書で説明しているように、データを保存、アーカイブ、取得するためのポリシー、期間、手法。
データ保管ポリシーは、保管対象データに適用されるデータ分類モデルとデータ保管規則を反映する必要があ
ります。 たとえば、機密度が非常に高いデータは、機密度が低いデータよりも長期間保存されることがあります。
詳細については、http://technet.microsoft.com/ja-jp/library/jj574217.aspx を参照してください。
Trustworthy Computing | クラウド対応のためのデータ分類
17
作業の分離: 本書で説明しているように、1 人のユーザーが、個人の利益のために IT リソースを使用したり、IT
によって組織に悪影響を及ぼしたりすることがないようにするため、IT 環境における責任を分担すること。 作業
の分離を実現するための一般的な方法の 1 つは、役割ベースのアクセス制御システムによる承認です。 詳細
については、http://msdn.microsoft.com/en-us/library/windows/desktop/aa379318(v=vs.85).aspx
(英語情報) を参照してください。
スパム: あらゆる種類の迷惑なオンライン コミュニケーション。 スパムの最も一般的な形式は迷惑メールですが、
テキスト メッセージのスパム、インスタント メッセージのスパム、ソーシャル ネットワーキングのスパムも存在します。
一部のスパムは迷惑であっても害のないものですが、スパムが個人情報の盗難やその他のタイプの不正行為に
使用されることもあります。
www.microsoft.com/ja-jp/security/resources/spam-whatis.aspx
構造化データ: 一般に、人が読み取ることが可能で、マシンによってインデックスを作成できるデータ。 このデータ
タイプには、データベースとスプレッドシートが含まれます。 詳細については、
http://msdn.microsoft.com/en-us/library/aa289148(v=vs.71).aspx (英語情報) を参照してください。
トークン: ユーザー名またはユーザー ID を認証するために使用されるアイテム。 カード キーなどのユーザーが所
有するもの、指紋や網膜スキャン、声紋などの生体認証をベースとするもの、またはよく知られたパスワードなど
がトークンとして使用されます。 詳細については、
http://technet.microsoft.com/en-us/library/cc759267(v=WS.10).aspx (英語情報) を参照してください。
非構造化データ: 人が読み取れず、インデックスの作成が困難なデータ。 このデータ タイプには、ソース コード、
2 進数、ドキュメントがあります。一般に、データがランダムに管理されている電子メールなども、このデータに含ま
れます。
Trustworthy Computing | クラウド対応のためのデータ分類
18